使用Kerberos保护Hadoop集群_第1页
使用Kerberos保护Hadoop集群_第2页
使用Kerberos保护Hadoop集群_第3页
使用Kerberos保护Hadoop集群_第4页
使用Kerberos保护Hadoop集群_第5页
已阅读5页,还剩6页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

主讲:侯磊使用Kerberos保护Hadoop集群目录0102映射服务主体增加Kerberos配置映射服务主体1映射服务主体前面我们配置了Kerberos并准备好使用它来验证Hadoop用户。要使用Kerberos保护集群,需要将Kerberos信息添加到相关的Hadoop配置文件中,从而将Kerberos与Hadoop连接。Hadoop配置文件都是我们熟悉的,例如core-site.xml和hdfs-site.xml文件。需要执行以下操作来通过Kerberos进行验证:将服务主体映射到其操作系统用户名。将Kerberos信息添加到Hadoop配置文件中。下面讨论如何将服务主体映射到其操作系统用户名,并将Kerberos相关信息添加到Hadoop配置文件。映射服务主体Kerberos使用core-site.xml文件中列出的规则,通过指定hadoop.security.auth_to_1ocal参数,将服务主体映射到操作系统用户名。默认规则(名为DEFAULT)将服务主体的名称转换为它们名字的第一个组成部分。请记住,服务主体的名称要么由两个组件组成,如sam@EXAMPLE.COM,要么使用三部分字符串,如hdfs/@EXAMPLE.COM。Hadoop将Kerberos主体名称映射到其本地用户名。映射服务主体如果服务主体名称的第一部分(在本示例中为hdfs)与其用户名相同,则无须创建任何其他规则,因为在这种情况下,DEFAULT规则就足够了。请注意,还可以通过在其中配置auth_to_local参数,将主体映射到krb5.conf文件中的用户名。如果服务主体的名称与其操作系统用户名不同,则必须配置hadoop.security.auth_to_local参数以指定将主体名称转换为操作系统用户名称的规则。如前所述,此参数的默认值为DEFAULT。一个规则提供了转换服务主体名称的机制,由以下三部分组成。映射服务主体Base:Base指定服务主体名称由几个部分构成,后跟一个冒号和用于从服务主体名称构建用户名的模式。在模式中,$0表示域,$1表示服务主体名称中的第一部分,$2表示第二部分。指定格式为[<number>:<string>],将其应用于主体的名称以获得翻译后的主体名称,也称为初始本地名称。映射服务主体Filter:过滤器(或接受过滤器)是使用与生成的字符串匹配的正则表达式的组件,以便应用规则。Substitution:这是一个类sed替换,并使用固定字符串替换被匹配的正则表达式的命令。规则的完整规范是:[<number>:<string>](<正则表达式>)s/<pattern>/<replacement>/。增加Kerberos配置2增加Kerberos配置为了在Hadoop集群中启用Kerberos身份验证,必须将K

人人文库> 全部分类> 教育资料 > 辅导培训

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论